PicassoLoader Brugt til målrettede angreb i Ukraine, Polen

En række målrettede kampagner er blevet lanceret for at erhverve følsom information og etablere vedvarende fjernadgang til kompromitterede systemer i Ukraine og Polen. Regeringsorganer, militære organisationer og civile er blevet ofre for disse angreb.

Disse indtrængen spænder fra april 2022 til juli 2023 og anvender forskellige taktikker, herunder phishing-lokker og lokkedokumenter. En fremtrædende malware, der bruges i denne ordning, er PicassoLoader, som implementeres gennem downloader-malware. Når først de er inficeret, kompromitteres systemerne ved hjælp af Cobalt Strike Beacon og njRAT.

Cisco Talos-forsker Vanja Svajcer forklarede, at angrebene involverer flere stadier, startende med ondsindede Microsoft Office-dokumenter, almindeligvis i Excel- eller PowerPoint-formater. Efterfølgende bruges en eksekverbar downloader og nyttelast skjult i en billedfil til at undgå registrering.

GhostWriter-trusselsaktøren, også kendt som UAC-0057 eller UNC1151, menes at være ansvarlig for nogle af disse aktiviteter. Deres motiver stemmer overens med den hviderussiske regerings.

Det er værd at bemærke, at en delmængde af disse angreb allerede er blevet rapporteret i det seneste år af Ukraines CERT-UA og Fortinet FortiGuard Labs. Et tilfælde involverede brugen af makrofyldte PowerPoint-dokumenter til at distribuere Agent Tesla-malware i juli 2022.

Infektionskæderne er designet til at overtale ofre til at aktivere makroer, hvilket fører til implementeringen af en DLL-downloader kaldet PicassoLoader. Denne downloader kommunikerer derefter med et websted kontrolleret af angriberen for at hente den endelige malware, som er indlejret i en legitim billedfil.

CERT-UA afslørede for nylig en række phishing-operationer, der distribuerer SmokeLoader-malware, samt et smishing-angreb med det formål at tage uautoriseret kontrol over Telegram-konti.

Flere trusselsaktører rettet mod Ukraine

I en separat hændelse afslørede CERT-UA en cyberspionagekampagne rettet mod statslige organisationer og medierepræsentanter i Ukraine. Denne kampagne brugte e-mail og instant messengers til at distribuere filer, der, når de blev lanceret, udførte et PowerShell-script kaldet LONEPAGE. Dette script hentede næste trins nyttelast såsom en browser-tyveri (THUMBCHOP) og en keylogger (CLOGFLAG).

GhostWriter er blot en af flere trusselsaktører, der har rettet sig mod Ukraine. APT28, en russisk nationalstatsgruppe, er også kendt for at have brugt HTML-vedhæftede filer i phishing-e-mails. Disse e-mails beder modtagerne om at ændre deres adgangskoder til UKR.NET og Yahoo! konti på grund af påstået mistænkelig aktivitet. Linkene omdirigerer dog ofre til falske landingssider designet til at stjæle deres legitimationsoplysninger.

Denne udvikling falder sammen med, at hackere fra den russiske militære efterretningstjeneste (GRU) har vedtaget en "standard fem-faset playbook" til deres forstyrrende operationer mod Ukraine. Denne strategi har til formål at intensivere hastigheden, omfanget og virkningen af deres angreb.